医療・福祉 Light Edition 600CL
オプション:リモート操作、ブラウザ環境分離

セキュリティ強化と引き替えの使いづらさを解消

ブラウザ分離で手に入れた
安全性と使いやすさの両立

左から、システムマネジメント部門 医療情報技師:和南城 夕里 様、システムマネジメント部門 部門長 医療情報技師:西松 浩太郎 様、
広報 兼 システムマネジメント部門:塩谷 勇

輝城会グループは、主に群馬県北部地域を中心に医療・介護サービスを提供する、社会医療法人 輝城会と社会福祉法人 なごみの杜から構成されるグループ法人です。サテライトを含めた23事業所により、急性期から在宅まで一貫した地域密着・地域完結型の医療・介護サービスを提供。約1,000人のスタッフの英知を結集させて今後の超高齢社会に向かって精進しています。

※再生ボタンを押すと動画が始まります。この動画は音声を含みます。

導入経緯

3名でPC約600台の運用・管理を担うため、
空きIPアドレスの把握など、効率化につながる機能が必要に

「SKYSEA Client View」導入前は、別の資産管理システムを導入していましたが、院内のPCを管理するには必要な機能が不足していたため、契約終了のタイミングで切り替えることにしました。特に、空きIPアドレスがすぐに確認できないことや、ソフトウェアライセンスを適切に管理する機能の不足を不便だと感じていましたので、それらに対応していたことが決め手となり「SKYSEA Client View」を採用することに。そのほかにもクライアントPCの管理に必要な機能の充実や、使いやすいUIなどが導入を後押ししました。現在、約600台のPCを3名で管理しています。輝城会グループの23事業所の中には遠隔地も含まれますので、現地に出向かず対応できる「リモート操作」が今では欠かせない機能になりました。

また、私どもはシステムの運用・管理だけでなく、自分たちで環境の構築を行っています。もちろん「SKYSEA Client View」についても同様です。どうしても自分たちでは解決できない問題が出てくることもありますが、そんなときはSky社のサポートに問い合わせをすることで解決できています。

セキュリティ対策(ネットワーク分離)

セキュリティ対策強化で、HIS系と業務系のネットワークを分離
求めたのはHIS系のPCでも安全にインターネットを使える環境

近年、病院がサイバー攻撃の被害に遭う報道を耳にする機会が増えましたが、そのたびに人ごととは思えず、輝城会グループでも対策の強化について検討してきました。その中で出した答えの一つが、これまで曖昧だったHIS系と業務系のネットワークの分断を強化して、閉域網対象を拡大することです。それまでは患者情報へアクセスできる仲介領域を設けて、業務の効率化を意識したネットワーク環境を提供していましたが、この運用を撤廃することを決断。従来のHIS系PCに加え、患者情報を扱うPCもHIS系PCとして取り扱い、それ以外の業務を処理するPCとは完全に分離しました。

すると、これまで患者情報を扱うPCでも可能だったインターネットの利用ができなくなり、一部の作業については業務系のPCとの併用が必要になったことで、業務効率が下がったという声を頻繁に聞くようになります。職員はセキュリティ強化のためなら仕方ないと我慢してくれていましたが、やはり極端な業務効率低下は問題です。そこで、できるだけコストを押さえて業務効率を上げる方法を検討した結果、「ブラウザ分離」を採用することを決めます。いくつかのメーカーから興味深い提案も受けました。しかし、輝城会グループは「SKYSEA Client View」を導入していることから、機能の拡張として採用するのが一番いいのではないかという結論に。現在は、希望した部署にオプションの「ブラウザ環境分離」機能を追加しています。

導入の効果(ブラウザ環境分離)

アイコンのクリックで起動できる手軽さと同時に
印刷やコピーの禁止など、セキュリティ対策の維持も継続

「ブラウザ環境分離」の環境を構築後、使い方を職員にレクチャーしました。その後、問い合わせは一度も受けていません。デスクトップ上のアイコンをクリックすれば、「分離ブラウザ」が起動。後は以前と同じように操作できます。以前との違いである一つのPCの中に二つのネットワークが存在していることに対しても、利用している職員は違和感を持っていないようです。ほぼ以前と同じようにブラウザが使えるようになり業務効率は上がりましたが、完全に分離していたときと同じレベルのセキュリティは確保しなければなりません。そこで、「分離ブラウザ」にはいくつかの制限を設けています。例えば、「分離ブラウザ」上からクリップボード内にコピーできるのはテキストデータのみです。URLや画像のコピー、印刷もできません。

また、「ブラウザ環境分離」を起動すると、ウィンドウに赤い枠がつくよう設定しました。どちらの環境を操作しているのかがわかりやすいだけでなく、セキュリティ上切り離された環境のネットワークを操作していると意識してもらう役割を果たしているようにも感じています。

導入の効果(Windows Update)

「検索グループ」の自動振り分けで、
アップデートの再配布を効率化

サイバー攻撃による被害のなかには、更新プログラムを適用していれば防げたケースが数多くあります。そこで、緊急性の高い脆弱性に対して、できるだけ早く更新プログラムを適用するための対策を検討。その結果、私どもでは、「更新プログラム配布管理」機能を活用することにしました。

まずは「保守契約ユーザー用Webサイト」で提供されているスクリプトファイルを活用して配布用パックを作成。その後、サービス スタック更新プログラム(SSU)やセキュリティ更新プログラム等をPCへ配布しています。「検索グループ(自動振り分け)」を活用すれば、再配布用グループの作成も容易で、複数のPCへの適用が完了していないなど、把握しづらい更新状況が管理しやすくなりました。また、更新プログラムによっては、WSUSの方が手間がかからないこともあるため、作業の効率化を意識して併用しています。「検索グループ(自動振り分け)」がとても有効だと感じるのは、条件を指定すれば自動振り分けできることです。適用に失敗したPCが振り分けられたグループに対して再配布すればいいので、作業の効率化につながっています。

そのほか、アップデートに管理者権限が必要なアプリケーションの更新には「ソフトウェア配布」機能を活用しています。スケジュールを設定して、業務に支障がでないよう対応することが可能です。また、アップデートにより医療システムに不具合が発生すれば、診療に影響が出てしまうため、テスト用のグループを作成して、そのグループに更新プログラムを適用。問題が発生しなければ、ほかのPCに一斉配布するなど、さまざまな場面で柔軟な対応ができる点がとても便利だと感じています。

導入の効果(その他)

外出先でのノートPCの利用時は
登録外のSSIDには接続できないよう制御

そのほかにも、さまざまな場面で「SKYSEA Client View」を活用していますが、院内や事業所で使用しているノートPCに対して、登録外のSSID(Service Set Identifier)に接続できないよう制御しているのもその一つです。この設定は、一般の職員用PCだけでなく、医師が学会での発表用に持ち出すPCも例外ではありません。

無線LANはITに多少詳しい人であれば一般のユーザー権限でも接続設定ができてしまうため、登録外のSSIDに接続されないよう制御して、管理外ネットワークへの接続を防いでいます。そのため、外出先でも安心してPCを使ってもらうことが可能です。

すでに業務効率・現場利便性の向上に欠かせなくなっている「SKYSEA Client View」を、今後も引き続き活用していきたいと思います。

職員の声

ネットワークの分離は仕方ないとわかっていても
不便な運用から解放されたことが素直にうれしい

医療秘書課では、さまざまな場面で患者さんや医療スタッフのフォローを行いますが、救急搬送された患者さんに近隣の医療機関を紹介する手続きもその一つです。その際、医師は患者さんへの処置を行いながら、私たちに指示を出します。中にはすばやく搬送先を見つけるため、その場で該当の診療科のある病院を検索して、問い合わせすることが求められるケースも。ネットワーク分離後は、私たちが使用しているPCではインターネットが利用できなくなったため、業務系ネットワークのデスクトップPCを使用している職員に連絡して協力してもらう必要がありました。それでも、サイバー攻撃で診療がストップする可能性も知っていましたので、次第に仕方がないと思うようになっていきます。

ネットワーク分離から数年が経過し「ブラウザ環境分離」が導入されると聞いて、すぐに利用したいと申し出ました。導入後は、以前のように速やかな対応を提供できるようになって満足しています。セキュリティ強化のため、「分離ブラウザ」使用後は速やかに終了するというルールが追加されましたが、ほかの職員からもクレームを聞いたことがありません。不便だった運用が解消されて、利便性を感じる声が圧倒的に多いと思います。

2024年7月取材

注目コンテンツ

ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら